Oracle Database 11g: Database Security

Целевая аудитория

• Разработчики систем безопасности
• Администраторы баз данных
• Администраторы безопасности
• Аудиторы систем безопасности

Предварительная подготовка

• Сервер Oracle Database 11g: Основы администрирования, часть 1

Содержание курса

Требования к безопасности

•  Концепции безопасности данных
•  Основные требования безопасности
•  Компоненты для укрепления защиты
•  Риски безопасности: внутренние, внешние, саботаж, восстановление
•  Принцип наименьшей привилегии
•  Определение политики безопасности
•  Внедрение политики безопасности

Решения безопасности

•  Поддержание целостности данных
•  Управление контролем доступа
•  Защита данных
•  Обзор Database Vault
•  Обзор Audit Vault
•  Совместное использование опций безопасности
•  Сканер соответствия
•  Консоль управления Database Control: Policy Trend

Основы безопасности базы данных

•  Контрольный список безопасности
•  Установка только необходимого программного обеспечения
•  Применение исправлений (патчей) безопасности
•  Настройки безопасности по умолчанию в Oracle 11g
•  Управление паролями пользователей
•  Системные и объектные привилегии
•  Ограничение директорий, доступных пользователю
•  Разделение ответственности

Аудит базы данных

•  Стандартный аудит базы данных
•  Отслеживание подозрительной активности
•  Возможные местоположения журнала аудита
•  Просмотр журнала аудита
•  Конфигурирование аудита для записи в syslog
•  Аудит по значениям
•  Триггеры и автономные транзакции

Аудит команд DML (Fine-Grained Audit — дифференцированный аудит)

•  Дифференцированный аудит (FGA)
•  Политики FGA
•  События, вызывающие запуск аудита
•  Представления словаря данных
•  Включение и выключение политик FGA
•  Рекомендации по созданию политик FGA
•  Сопровождение журнала аудита

Базовая аутентификация пользователей

•  Аутентификация пользователей
•  Аутентификация по паролю
•  Внешняя аутентификация
•  Защита паролей
•  Шифрованные пароли на связи базы данных
•  Связи базы данных и аудит

Использование сильной аутентификации

•  Сильная аутентификация
•  Single Sign-On
•  Использование сертификатов для аутентификации
•  Настройка SSL
•  Утилита orapki
•  Использование Kerberos для аутентификации
•  Обзор аутентификации RADIUS
•  Внешнее защищенное хранилище паролей

Защита корпоративного пользователя (Enterprise User Security)

•  Настройка EUS
•  Инфраструктура Oracle Identity Management
•  Архитектура EUS
•  Аутентификация корпоративных пользователей
•  Утилита миграции пользователей
•  Аудит корпоративного пользователя

Прокси-аутентификация

•  Проблемы безопасности при использовании трехзвенной архитектуры
•  Общие принципы аутентификации
•  Ограничение привилегий среднего звена
•  Использование прокси-аутентификации для пользователей базы данных
•  Использование прокси-аутентификации для корпоративных пользователей
•  Отзыв прокси-аутентификации
•  Представления словаря данных для прокси-аутентификации

Способы авторизации

•  Авторизация
•  Назначение привилегий
•  Использование корпоративных ролей
•  Внедрение роли приложения

Использование контекста приложения

•  Обзор контекста приложения
•  Внедрение локального контекста
•  Контекст приложения с глобальным доступом
•  Рекомендации

Внедрение политик виртуальной частной базы данных

•  Обзор дифференцированного контроля доступа
•  Виртуальная частная база данных (Virtual Private Database)
•  Внедрение политик виртуальной частной базы данных
•  Управление политиками виртуальной частной базы данных
•  Производительность политик
•  Проверка работоспособности политик, применяемых к командам SQL

Концепции Oracle Label Security

•  Обзор контроля доступа
•  Принудительный контроль доступа
•  Опция Oracle Label Security
•  Сравнение Oracle Label Security и виртуальной частной базы данных

Внедрение Oracle Label Security

•  Опции включения политики
•  Управление уровнями, группами и категориями
•  Управление метками
•  Доверенные программные единицы
•  Советы по производительности

Использование Data Masking Pack

•  Обзор Data Masking
•  Выбор конфиденциальных данных для маскирования
•  Внедрение Data Masking
•  Отчет Data Masking

Концепции шифрования

•  Обзор шифрования данных
•  Цена шифрования
•  Шифрование — это не контроль доступа
•  Потенциальные проблемы при шифровании данных
•  Управление ключами шифрования
•  Примеры

Использование шифрования, реализованного в приложении

•  Обзор
•  Пакет DBMS_CRYPTO
•  Генерация ключа шифрования с использованием RANDOMBYTES
•  Использование ENCRYPT и DECRYPT
•  Использование режимов блочного шифрования
•  Функции хэширования

Применение прозрачного шифрования данных (Transparent Data Encryption)

•  Обзор прозрачного шифрования данных
•  Компоненты шифрования данных
•  Использование шифрования данных
•  Использование внешних модулей защиты (Hardware Secure Module)
•  Шифрование табличных пространств

Использование шифрования файлов

•  Шифрованные резервные копии RMAN
•  Шифрование при помощи Oracle Secure Backup
•  Использование прозрачного шифрования
•  Использование шифрования с использованием пароля
•  Использование шифрования в двойном режиме
•  Восстановление с применением шифрованной резервной копии

Контрольный список безопасности Oracle Net

•  Обзор контрольных списков безопасности
•  Контрольный список безопасности клиента
•  Контрольный список сетевой безопасности
•  Ограничение сетевых IP адресов
•  Ограничение количества открытых портов
•  Шифрование сетевого трафика
•  Конфигурация подсчёта контрольных сумм
•  Журнальные файлы Oracle Net

Защита процесса прослушивания

•  Контрольный список безопасности процесса прослушивания
•  Ограничение привилегий процесса прослушивания
•  Защита паролем процесса прослушивания
•  Администрирование процесса прослушивания с использованием протокола TCP/IP с SSL
•  Анализ журналов процесса прослушивания